Azure Virtual Desktop の認証戦略の選択

完了

リモート セッションに接続するユーザーには、次の 3 つの認証ポイントがあります。

  • Azure Virtual Desktop へのサービス認証: クライアントへのアクセス時にユーザーがアクセスできるリソースの一覧を取得します。 この環境は、Microsoft Entra アカウント構成によって異なります。 たとえば、ユーザーが多要素認証を有効にしている場合、他のサービスにアクセスする方法と同じように、ユーザー アカウントと 2 つ目の認証形式の入力を求められます。
  • セッション ホスト: リモート セッションの開始時。 セッション ホストにはユーザー名とパスワードが必要ですが、シングル サインオン (SSO) が有効になっている場合は、ユーザーにとってシームレスです。
  • セッション内認証: リモート セッション内で他のリソースに接続します。

次のセクションでは、これらの各認証のポイントについて詳しく説明します。

サービス認証

Azure Virtual Desktop リソースにアクセスするには、まず Microsoft Entra アカウントを使用してサインインしてサービスの認証を受ける必要があります。 認証は、ワークスペースをサブスクライブしてリソースを取得し、アプリまたはデスクトップに接続するたび発生します。 Microsoft Entra ID とフェデレーションされていれば、サードパーティの ID プロバイダーを使用できます。

多要素認証

条件付きアクセスを使用して Azure Virtual Desktop に Microsoft Entra 多要素認証を適用する」の手順に従って、デプロイに Microsoft Entra 多要素認証を適用する方法を確認します。 この記事では、ユーザーに資格情報の入力を求める頻度を構成する方法も示します。 Microsoft Entra 参加済み VM をデプロイするときは、Microsoft Entra 参加済みセッション ホスト VM の追加の手順に注意してください。

パスワードレスの認証

Windows Hello for Business やその他のパスワードレス認証オプション (FIDO キーなど) など、Microsoft Entra ID でサポートされている任意の認証の種類を使用して、サービスに対する認証を行うことができます。

スマート カード認証

スマート カードを使用して Microsoft Entra ID への認証を行うには、まずユーザー証明書認証用に AD FS を構成するか、Microsoft Entra 証明書ベースの認証を構成する必要があります。

セッション ホスト認証

シングル サインオンをまだ有効にしていない場合、または資格情報をローカルに保存していない場合は、接続を起動するときにセッション ホストに対する認証も必要になります。 次の一覧では、各 Azure Virtual Desktop クライアントが現在サポートしている認証の種類について説明します。 一部のクライアントでは、特定のバージョンを使う必要があります。これは各認証の種類のリンク先で確認できます。

クライアント サポートされている認証タイプ
Windows デスクトップクライアント ユーザー名とパスワード
スマート カード
Windows Hello for Business 証明書信頼
Windows Hello for Business 証明書によるキー信頼
Microsoft Entra 認証
Azure Virtual Desktop Store アプリ ユーザー名とパスワード
スマート カード
Windows Hello for Business 証明書信頼
Windows Hello for Business 証明書によるキー信頼
Microsoft Entra 認証
リモート デスクトップ アプリ ユーザー名とパスワード
Web クライアント ユーザー名とパスワード
Microsoft Entra 認証
Android クライアント ユーザー名とパスワード
Microsoft Entra 認証
iOS クライアント ユーザー名とパスワード
Microsoft Entra 認証
macOS クライアント ユーザー名とパスワード
スマート カード: NLA がネゴシエートされていないときに、Winlogon プロンプトでスマート カード リダイレクトを使用したスマート カードベースのサインインがサポートされます。
Microsoft Entra 認証

重要

認証が正常に機能するためには、ローカル コンピューターがリモート デスクトップ クライアントの必要な URL にもアクセスできる必要があります。

シングル サインオン (SSO)

SSO を使用すると、接続でセッション ホスト資格情報プロンプトをスキップし、ユーザーを Windows に自動的にサインインさせることができます。 Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済みのセッション ホストの場合は、Microsoft Entra 認証を使用して SSO を有効にすることをお勧めします。 Microsoft Entra 認証には、パスワードレス認証やサードパーティ ID プロバイダーのサポートなど、その他の利点があります。

Azure Virtual Desktop では、Windows デスクトップおよび Web クライアント用の Active Directory フェデレーション サービス (AD FS) を使用した SSO もサポートされています。

SSO を使用しない場合、クライアントは、すべての接続に対してセッション ホスト資格情報の入力をユーザーに求めます。 ダイアログの表示を回避する唯一の方法は、資格情報をクライアントに保存することです。 他のユーザーがリソースにアクセスできないようにするため、セキュリティで保護されたデバイスにのみ資格情報を保存することをお勧めします。

スマート カードと Windows Hello for Business

Azure Virtual Desktop では、セッション ホスト認証に NT LAN Manager (NTLM) と Kerberos の両方がサポートされていますが、スマート カードとWindows Hello for Business では、Kerberos のみを使用してサインインできます。 クライアントで Kerberos を使用するには、ドメイン コントローラーで実行されているキー配布センター (KDC) サービスから Kerberos セキュリティ チケットを取得する必要があります。 チケットを取得するには、クライアントからドメイン コントローラーへ向かう直接のネットワーク通信経路が必要になります。 企業ネットワーク内で直接接続するか、VPN 接続を使用するか、KDC プロキシ サーバーを設定することで、通信経路を確立できます。

セッション内認証

RemoteApp またはデスクトップに接続すると、セッション内で認証を求めるメッセージが表示される場合があります。 このセクションでは、このシナリオでユーザー名とパスワード以外の資格情報を使用する方法について説明します。

セッション内パスワードレス認証

Azure Virtual Desktop では、Windows Desktop クライアントの使用時に、Windows Hello for Business や、FIDO キーなどのセキュリティ デバイスを使用したセッション内パスワードレス認証がサポートされています。 セッション ホストとローカル PC が次のオペレーティング システムを使用している場合、パスワードレス認証は自動的に有効になります。

ホスト プールでパスワードレス認証を無効にするには、RDP プロパティをカスタマイズする必要があります。 WebAuthn リダイレクト プロパティは、Azure portal の [デバイスのリダイレクト] タブで確認するか、PowerShell を使用して redirectwebauthn プロパティを 0 に設定します。

有効にすると、セッション内のすべての WebAuthn 要求がローカル PC にリダイレクトされます。 Windows Hello for Business またはローカルに接続されたセキュリティ デバイスを使用して、認証プロセスを完了できます。

Windows Hello for Business またはセキュリティ デバイスを使用して Microsoft Entra リソースにアクセスするには、ユーザーの認証方法として FIDO2 セキュリティ キーを有効にする必要があります。 この方法を有効にするには、「FIDO2 セキュリティ キーの方法を有効にする」の手順に従います。

セッション内スマート カード認証

セッションでスマート カードを使用するには、セッション ホストにスマート カード ドライバーがインストールされ、スマート カード リダイレクトが有効になっている必要があります。 クライアント比較チャートを参照して、クライアントでスマート カード リダイレクトがサポートされるか確認してください。